本文提供使用 Microsoft 365 建置零信任安全性的部署計劃。 零信任是一種安全性模型,假設有缺口,並驗證每個要求,就好像它源自不受控制的網路一樣。 不論要求的來源或存取的資源為何,零信任模型都會教導我們「永遠不要信任,永遠驗證」。
將本文與此海報搭配使用。
| 項目 | 說明 |
|---|---|
PDF格式 | Visio格式 更新日期:2025年4月 |
相關解決方案指南 |
零信任 原則和架構
零信任是安全性策略。 這不是產品或服務,而是設計和實作下列一組安全性原則的方法。
| 原則 | 說明 |
|---|---|
| 明確驗證 | 一律根據所有可用的數據點進行驗證和授權。 |
| 使用最低權限存取權 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 |
| 假設系統已遭突破 | 將爆炸半徑降至最低,並分隔存取權限。 確認端對端加密,並使用分析來取得可見度、驅動威脅偵測,以及改善防禦。 |
本文中的指導方針可協助您使用 Microsoft 365 實作功能來套用這些原則。
零信任方法會在整個數位環境中延伸,並作為整合式安全理念和端到端策略。
此圖例提供組成零信任的主要元素的呈現。
在圖例中:
- 安全策略強制執行位於零信任架構的中心。 這包括使用條件式存取進行多重要素驗證,以考慮使用者帳戶風險、裝置狀態,以及您設定的其他準則和原則。
- 身分識別、裝置、資料、應用程式、網路和其他基礎結構元件都以適當的安全性設定。 針對每個元件所設定的原則會與您的整體零信任策略協調。 例如,裝置原則會決定狀況良好的裝置準則,而條件式存取原則需要狀況良好的裝置才能存取特定應用程式和數據。
- 威脅防護和情報會監視環境、呈現目前的風險,並採取自動化動作來補救攻擊。
如需零信任的詳細資訊,請參閱 Microsoft 的零信任指導中心。
為 Microsoft 365 部署零信任
Microsoft 365 是刻意建置,具有許多安全性和資訊保護功能,可協助您將零信任建置到您的環境。 您可以擴充許多功能,以保護組織使用的其他 SaaS 應用程式的存取權,以及這些應用程式內的數據。
此圖例呈現部署零信任功能的工作。 這項工作與 零信任 採用架構中的 零信任 商務案例一致。
在此圖中,部署工作會分類為五個泳道:
- 保護遠端和混合式工作 — 此工作會建立身分識別和裝置保護的基礎。
- 防止或減少因缺口而造成的業務損害 — 威脅防護提供安全性威脅的即時監視和補救。 Defender for Cloud Apps 提供 SaaS 應用程式的探索,包括 AI 應用程式,並可讓您將數據保護延伸到這些應用程式。
- 識別及保護敏感性商務數據 — 資料保護功能提供以特定數據類型為目標的複雜控件,以保護您最有價值的資訊。
- 保護 AI 應用程式和資料 — 快速保護貴組織對 AI 應用程式的使用,以及與這些應用程式互動的數據。
- 符合法規和合規性需求 — 瞭解並追蹤您遵守影響貴組織之法規的進度。
本文假設您使用的是雲端身分識別。 如果您需要此目標的指引,請參閱 部署Microsoft 365 的身分識別基礎結構。
小提示
當您瞭解步驟和端對端部署程式時,可以在登入 Microsoft 365 系統管理中心 時,使用設定Microsoft 零信任 安全性模型進階部署指南。 本指南將逐步引導您將 零信任 準則套用至標準和進階技術要件。 若要在不登入的情況下逐步執行指南,請移至 Microsoft 365 安裝程式入口網站。
泳道 1 - 保護遠端和混合式工作
保護遠端和混合式工作牽涉到設定身分識別和裝置存取保護。 這些保護會明確地提供 零信任 原則驗證。
完成在三個階段中保護遠端和混合式工作的工作。
階段 1 - 實作起點身分識別和裝置存取原則
Microsoft本指南中針對 零信任 建議一組完整的身分識別和裝置存取原則,零信任 身分識別和裝置存取設定。
在第1階段中,從實作起點層開始。 這些原則不需要註冊裝置以進行管理。
如需詳細的規範指引,請移至 零信任 身分識別和裝置存取保護。 這一系列的文章說明一組身分識別和裝置存取必要條件設定,以及一組 Microsoft Entra 條件式存取、Microsoft Intune 和其他原則,以安全存取企業雲端應用程式和服務、其他 SaaS 服務,以及使用 Microsoft Entra 應用程式發佈的內部部署應用程式Microsoft 365代理。
| 包括 | 先決條件 | 不包含 |
|---|---|---|
三種保護層級的建議身分識別和裝置存取原則:
其他建議:
|
Microsoft E3 或 E5 Microsoft Entra ID 下列其中一種模式:
|
針對需要受控裝置原則的註冊裝置。 請參閱使用 Intune 管理裝置以註冊裝置。 |
階段 2 - 使用 Intune 註冊裝置以進行管理
接下來,註冊您的裝置以進行管理,並開始使用更複雜的控件來保護裝置。
如需註冊裝置以進行管理的詳細規範指引,請參閱使用 Intune 管理裝置。
| 包括 | 先決條件 | 不包含 |
|---|---|---|
使用下 Intune 註冊裝置:
設定原則:
|
向 Microsoft Entra ID 註冊端點 | 設定資訊保護功能,包括:
如需這些功能,請參閱 泳道 3 - 識別及保護敏感數據 (本文稍後)。 |
如需詳細資訊,請參閱 Microsoft Intune的 零信任。
階段 3 - 新增 零信任 身分識別和裝置存取保護:企業原則
將裝置註冊加入管理中後,您現在可以實作一組完整的建議零信任身分識別與裝置存取原則,需要相容的裝置。
返回 一般身分識別和裝置存取原則 ,並在企業層中新增原則。
深入瞭解如何在 零信任 採用架構中保護遠端和混合式工作 — 保護遠端和混合式工作。
泳道 2 - 防止或減少因外泄而造成的商務損害
Microsoft Defender 全面偵測回應 是 XDR) 解決方案 (延伸偵測和回應,可自動收集、相互關聯及分析來自您Microsoft 365 環境中的訊號、威脅和警示數據,包括端點、電子郵件、應用程式和身分識別。 此外,Microsoft Defender for Cloud Apps 可協助組織識別和管理 SaaS 應用程式的存取權,包括 GenAI 應用程式。
試驗和部署 Microsoft Defender 全面偵測回應,以防止或減少因缺口而造成的業務損害。
如需試驗和部署 Microsoft Defender 全面偵測回應元件的方法指南,請移至試驗和部署 Microsoft Defender 全面偵測回應。
| 包括 | 先決條件 | 不包含 |
|---|---|---|
| 設定所有元件的評估和試驗環境: 防範威脅 調查及回應威脅 |
請參閱指引,以瞭解 Microsoft Defender 全面偵測回應 每個元件的架構需求。 | Microsoft Entra ID Protection 不包含在本解決方案指南中。 它包含在 [泳道 1 — 安全遠端和混合式工作] 中。 |
深入瞭解如何在 零信任 採用架構中防止或減少因外泄而造成的業務損害 — 防止或減少因外泄而造成的業務損害。
泳道 3 — 識別及保護敏感性商務數據
實作 Microsoft Purview 資訊保護,以協助您探索、分類及保護敏感性資訊,無論敏感性信息位於何處或在何處移動。
Microsoft Purview 資訊保護 功能隨附於 Microsoft Purview,並提供您工具來瞭解您的數據、保護您的數據,以及防止數據遺失。 您可以隨時開始此工作。
Microsoft Purview 資訊保護 提供架構、程式和功能,可用來達成特定的商務目標。
如需如何規劃和部署資訊保護的詳細資訊,請參閱 部署Microsoft Purview 資訊保護解決方案。
深入瞭解如何在 零信任 採用架構中識別和保護敏感性商務數據 — 識別和保護敏感性商務數據。
泳道 4 — 保護 AI 應用程式和數據
Microsoft 365 包含可協助組織快速保護 AI 應用程式和這些使用數據的功能。
從使用適用於 AI 的 Purview 資料安全性態勢管理 (DSPM) 開始。 此工具著重於組織中 AI 的使用方式,特別是與 AI 工具互動的敏感數據。 適用於 AI 的 DSPM 為 Microsoft Copilots 和第三方 SaaS 應用程式提供更深入的見解,例如 ChatGPT Enterprise 和 Google Gemini。
下圖顯示 AI 使用對您數據影響的其中一個匯總檢視—每個生成式 AI 應用程式的敏感互動。
使用 AI 的 DSPM 來:
- 瞭解 AI 使用量,包括敏感數據。
- 檢閱數據評估,以瞭解過度共用中的落差,這可透過SharePoint過度共用控件來緩解。
- 尋找敏感度標籤和數據外洩防護原則涵蓋範圍中的落差 (DLP) 原則。
Defender for Cloud Apps 是探索及控管 SaaS GenAI 應用程式和使用方式的另一個強大工具。 Defender for Cloud Apps 目錄中包含超過一千個產生的 AI 相關應用程式,可讓您瞭解組織中產生的 AI 應用程式如何使用,並協助您安全地管理它們。
除了這些工具之外,Microsoft 365 還提供一組完整的功能來保護和管理 AI。 請參閱 探索、保護及控管 AI 應用程式和數據 ,以瞭解如何開始使用這些功能。
下表列出 Microsoft 365 功能,其中包含 AI 安全性連結庫中詳細信息的連結。
| 能力 | 詳細資訊 |
|---|---|
| SharePoint 過度共用控件,包括 SharePoint 進階管理 | 套用 SharePoint 過度共用控制項 |
| 適用於 AI 的 DSPM |
透過 AI 的 (DSPM) 來瞭解 AI 使用量 透過 AI 的 DSPM 來保護數據 |
| 敏感度標籤和 DLP 原則 | 繼續識別敏感度標籤和 DLP 原則中的間距 |
| 測試人員風險管理 (IRM) — 具風險的 AI 使用原則範本 | 套用具風險的 AI 範本 |
| 調適型保護 | 設定測試人員風險管理的調適型保護 |
| 雲端應用程式防護者 |
探索、批准和封鎖 AI 應用程式 分類和保護 AI 應用程式的使用 根據合規性風險管理 AI 應用程式 |
| Purview 合規性管理員 | 建置和管理 AI 相關法規的評量 |
| Purview 通訊合規性 | 分析輸入到產生 AI 應用程式的提示和回應,以協助偵測不適當或具風險的互動或共用機密資訊 |
| Purview 數據生命週期管理 | 主動刪除不再需要保留的內容,以降低 AI 工具中數據過度顯示的風險 |
| 電子文件探索 | 在提示和回應中搜尋關鍵詞,管理電子檔探索案例中的結果 |
| Copilot 和 AI 活動的稽核記錄 | 識別 Copilot 互動發生方式、時間和位置,以及存取哪些專案,包括這些專案上的任何敏感度標籤 |
| Priva 隱私權評量 | 為您建置的 AI 應用程式起始隱私權影響評估 |
泳道 5 - 符合法規與合規性需求
不論貴組織的IT環境複雜度或組織大小為何,可能會影響您企業的新法規需求都會持續增加。 零信任 方法通常會超過合規性法規所強制執行的某些需求類型,例如控制個人資料存取權的需求。 已實作 零信任 方法的組織可能會發現他們已符合一些新條件,或可以輕鬆地根據其 零信任 架構來符合規範。
Microsoft 365 包含可協助法規合規性的功能,包括:
- 合規性管理員
- 內容總管
- 保留原則、敏感度標籤和 DLP 原則
- 通訊合規性
- 數據生命週期管理
- Priva 隱私權風險管理
使用下列資源來符合法規和合規性需求。
| 資源 | 詳細資訊 |
|---|---|
| 零信任 採用架構 — 符合法規與合規性需求 | 說明貴組織可遵循的方法,包括定義策略、規劃、採用及治理。 |
| 治理 AI 應用程式和數據以符合法規 | 解決新興 AI 相關法規的法規合規性,包括可提供協助的特定功能。 |
| 使用 Microsoft Priva 和 Microsoft Purview 管理數據隱私權和數據保護 | 使用 Microsoft Priva 和 Microsoft Purview,評估風險並採取適當動作來保護組織環境中的個人資料。 |
後續步驟
若要深入瞭解 零信任,請造訪 零信任 指引中心。